SCTP多歸屬技術(shù)在VPN網(wǎng)絡(luò)中的應(yīng)用

文/許多

VPN技術(shù)可以保護在公網(wǎng)上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而在不安全的Internet公網(wǎng)上開辟了一個安全的私有網(wǎng)絡(luò)，因此得到應(yīng)用廣泛。在基于MPLS（Multi-Protocol Label Switch，多協(xié)議標(biāo)簽交換）的VPN網(wǎng)絡(luò)設(shè)備中，一般根據(jù)接口將設(shè)備劃分為多個VRF（Virtual Route Forwarding Instance，虛擬路由轉(zhuǎn)發(fā)實例），每個VRF對應(yīng)一個VPN私有網(wǎng)絡(luò)，不同VRF之間相互隔離無法通信。

SCTP是在傳統(tǒng)的傳輸層協(xié)議TCP（Transmission Control Protocol，傳輸控制協(xié)議）的基礎(chǔ)上改進(jìn)而來的，是在IP網(wǎng)絡(luò)上建立下一代高質(zhì)量通信和電子商務(wù)的關(guān)鍵部分。SCTP較TCP的一大改進(jìn)就是SCTP支持多歸屬功能，一條SCTP偶聯(lián)（即連接）可以跨越多條通信路徑，這些路徑可以是物理上或邏輯上不同的，從而實現(xiàn)路徑備份和負(fù)荷分擔(dān)，即可以充分利用多條路徑的網(wǎng)絡(luò)帶寬，又能夠提高容錯性，避免局部網(wǎng)絡(luò)故障導(dǎo)致的業(yè)務(wù)中斷。

SCTP多歸屬功能，需要雙方在建鏈協(xié)商階段互相通告各自支持的多個IP地址。對于劃分了多VRF的設(shè)備來說，每個IP地址都?xì)w屬于某個私網(wǎng)或公網(wǎng)VRF域。但是，VRF的標(biāo)識符VrfName或VrfID，僅僅是本設(shè)備內(nèi)部分配的，不能在SCTP協(xié)商報文中隨同IP地址一起通告給對端設(shè)備；VRF所對應(yīng)的設(shè)備接口，雖然可以通過劃分VLAN來區(qū)分VRF，但VLAN的標(biāo)識號只能在二層局域網(wǎng)絡(luò)中有效，不能穿越三層IP網(wǎng)絡(luò)，更不能被SCTP協(xié)商報文用于通告給對端。因此，VRF網(wǎng)絡(luò)中要想實現(xiàn)SCTP多歸屬，存在著諸多困難。

本文克服現(xiàn)有技術(shù)在VPN網(wǎng)絡(luò)中部署SCTP多歸屬存在的問題和缺陷，提供一種實現(xiàn)VPN網(wǎng)絡(luò)中SCTP多歸屬的方法和裝置，應(yīng)用于網(wǎng)絡(luò)通信。

1 技術(shù)思路

圖1：VPN網(wǎng)絡(luò)的SCTP多歸屬

圖2：心跳報文封裝格式

圖3：通路管理信息表

VPN網(wǎng)絡(luò)SCTP多歸屬的組網(wǎng)如圖1，假設(shè)SCTP的兩個端點設(shè)備A和設(shè)備B，使用多個接口，通過多個VPN網(wǎng)絡(luò)進(jìn)行連接。這里，公網(wǎng)也被當(dāng)作是一個特殊的VPN網(wǎng)絡(luò)。設(shè)備的多個接口，可以是不同的物理接口或同一個接口上的多個子接口。SCTP偶聯(lián)的IP地址具體選擇哪個接口是由VRF路由決定的。SCTP偶聯(lián)的多個本端IP與多個對端IP之間交叉配對形成通路，例如：對端通告2個IP，本端有3個IP，則形成6個地址對，即6條通路。

現(xiàn)有的心跳（HeartBeat，以下簡稱HB）檢測和通路管理，無法區(qū)分VRF，因此首先考慮對標(biāo)準(zhǔn)的SCTP心跳報文進(jìn)行擴展，使用其報文凈荷部分，定義新的封裝格式用于支持VRF通路的檢測，如圖2所示。發(fā)送的心跳檢測報文中封裝有本端IP、對端IP和VRF標(biāo)識，以便在收到心跳應(yīng)答時能確定是屬于哪一條通路的哪個VRF。這里IP地址可以是IPv4，也可以是IPv6的。

在心跳檢測報文支持標(biāo)識VRF后，可進(jìn)一步管理基于VRF的通路，對不同的通路進(jìn)行檢測以便確定其有效性和狀態(tài)。

對SCTP多歸屬中基于VRF的多條通路進(jìn)行檢測和管理，具體方法為：

（1）SCTP在建鏈協(xié)商階段收到對端通告的多個IP地址后，將每個對端IP地址與每個本端IP地址配對，交叉配對形成多條通路，寫入通路信息表；通路信息表中建鏈所用的那條通路具備VRF信息（由上層業(yè)務(wù)在發(fā)起建鏈時指定），其他每條通路的VRF信息都為空。SCTP建鏈成功后，本端對每條通路中的對端IP地址，遍歷設(shè)備的所有VRF路由表進(jìn)行匹配查找，將存在有效路由的VRF標(biāo)識記錄下來，狀態(tài)為Pending。

SCTP通路管理信息表如圖3所示。

（2）本端對于每條通路周期性地發(fā)送HB報文（心跳檢測請求），每條通路需要針對每條通路中的VRF發(fā)送HB報文，HB報文中的HB信息塊如圖2所示，封裝入通路IP地址和相應(yīng)的VRF標(biāo)識。SCTP兩端都會按照各自的周期主動發(fā)送HB報文，HB報文中捎

2 基于VRF的通路檢測和管理

帶有HeartBeat_Info（簡稱HB_Info）信息，是一個可變長度的非透明數(shù)據(jù)塊，其信息通常只需要發(fā)送方識別即可，這里除VRF標(biāo)識外，還可以包含其他信息（例如對端IP地址和發(fā)送時間）；對端收到本端發(fā)送的HB報文后，需要直接確認(rèn)并回應(yīng)HeartBeat_Ack（簡稱HB_Ack）報文，將HB_Info信息原樣封裝到HB_Ack中返回。為了提高心跳檢測效率，每條通路中可以將多個VRF形成的多個HB報文一起發(fā)送出去。

本端收到對端回應(yīng)的HB_Ack報文后，取出其中的VRF標(biāo)識，作為該通路的有效VRF信息（狀態(tài)為Active），同時記錄下該VRF的RTT（Round-Trip Time，雙向傳輸時間）和SRTT（Smoothed RTT，平滑的雙向傳輸時間）；如果某個Pending狀態(tài)的VRF在發(fā)送HB檢測次數(shù)超過門限后仍未收到HB_Ack應(yīng)答，則將該VRF從通路信息表中移除。設(shè)備需要針對每條通路的每個VRF維護管理信息，其心跳檢測次數(shù)門限等于所屬通路的檢測次數(shù)門限。

（3）經(jīng)過一段時間的HB心跳檢測，每條通路都得到較為穩(wěn)定的VRF信息，此后如果有VRF通路的心跳檢測次數(shù)超過門限，則將該VRF狀態(tài)標(biāo)記為Inactive。SCTP處于偶聯(lián)建立狀態(tài)時一直需要進(jìn)行通路檢測，只有當(dāng)該通路的所有VRF信息都標(biāo)記為Inactive時，該通路才被認(rèn)為是未激活的。只要心跳檢測收到應(yīng)答，則對應(yīng)的通路VRF狀態(tài)標(biāo)記為Active；只要通路中存在一個Active的VRF，則該通路被認(rèn)為是激活的。

需要說明的是，如果通路存在多個Active的VRF，則以SRTT最小的VRF作為當(dāng)前主用VRF，該通路的RTT和SRTT也使用主用VRF的，該通路傳輸數(shù)據(jù)時使用主用VRF。通路主用VRF是動態(tài)更新的，即如果通路中有其他VRF的SRTT小于當(dāng)前主用VRF的SRTT，或當(dāng)前主用VRF狀態(tài)變?yōu)镮nactive時，則需要將主用VRF切換到其他VRF上。在實際部署時，通路中Active的VRF數(shù)量一般是很有限的。

當(dāng)設(shè)備的VRF路由表發(fā)生變化時，可以重新按照上面的方法，將存在有效路由的VRF放入通路信息表中進(jìn)行檢測。當(dāng)VRF路由表發(fā)生變化時，由VRF路由管理單元主動通知SCTP模塊。SCTP穩(wěn)定運行一段時間后，也可以重新按照上面的方法，定期將存在有效路由的VRF放入通路信息表中進(jìn)行檢測。

3 結(jié)束語

本文將VRF網(wǎng)絡(luò)和SCTP多歸屬的優(yōu)勢相結(jié)合，提出VRF網(wǎng)絡(luò)中實現(xiàn)SCTP多歸屬的技術(shù)，既能保證數(shù)據(jù)傳輸?shù)陌踩院涂煽啃?，又便于實施路徑備份和?fù)荷分擔(dān)，避免網(wǎng)絡(luò)通路中單點故障給業(yè)務(wù)帶來的傳輸中斷。同時，所述技術(shù)對本端IP網(wǎng)絡(luò)層的實現(xiàn)方式以及外部的組網(wǎng)形式、對端SCTP的處理方式都沒有特殊要求，具有很強的通用性和實用性。